すべての情報を見逃したくないですか?

認定試験に合格するためのヒント

最新の試験ニュースと割引情報

当社の専門家による厳選最新情報

はい、ニュースを送ってください

リアル模擬試験でCISAを突破する, 公認情報システム監査人|SPOTO

SPOTO Clubの模擬試験でCISA試験を突破しよう!公認情報システム監査人になるには、厳しい準備が必要です。SPOTOの試験教材には、何百もの現実的な試験問題と解答、および実際の試験体験をシミュレートするためのフルレングスの模擬試験が含まれています。SPOTOのオンライン試験問題やサンプル問題で練習し、自分の弱い分野を特定し、勉強に集中しましょう。各解答の詳細な解説で理解を深めることができます。SPOTOの試験シミュレータは、実際の試験環境を再現し、自信をつけ、時間を効果的に管理するのに役立ちます。SPOTOの模擬試験には、専門家によって定期的に更新される最新の試験問題が含まれています。今すぐ無料テストを開始して、SPOTOがなぜ世界中のCISA志望者のための試験準備リソースなのかを体験してください!
他のオンライン試験を受ける

質問 #1
組織のITシステムを保護する場合、通常、ネットワーク・ファイアウォールが侵害された次の防御ラインはどれか?
A. パーソナルファイアウォール
B. ウイルス対策プログラム
C. 侵入検知システム(IDS)
D. 仮想ローカルエリアネットワーク(VLAN)設定
回答を見る
正解: C
質問 #2
組織のディザスタリカバリ要件に対応するため、バックアップの間隔は以下の値を超えてはならない:
A. サービスレベル目標(SLO)。
B. 回復時間目標(RTO)。
C. 回復時点目標(RPO)。
D. 最大許容停止時間(MAO)。
回答を見る
正解: C
質問 #3
職務の分離をテストする場合、次の監査手法のうち、最も信頼できる証拠はどれか。
A. 対象地域の日常業務の観察
B. 組織図による部門構造の評価
C. 各部門の手順ハンドブックの見直し
D. マネージャーとエンドユーザーへのインタビュー
回答を見る
正解: A
質問 #4
暗号化の使用をレビューしているIS監査人が、対称鍵が当事者間の電子メールメッセージで送信されていることを発見した。この状況で正しい監査対応はどれか。
A. 鍵は非対称であるべきであり、したがって変更されるべきである。
B. このような性質の鍵をこのような方法で配布することは通常であるため、監査所見は記録されない。
C. キーは一度しか使用できないため、監査所見は記録されない。
D. 鍵は安全な方法で配布されるべきであるという監査所見が記録されている。
回答を見る
正解: B
質問 #5
戦略的な情報セキュリティの意思決定を行うためのアプローチとして、最も適切なものはどれか。
A. 定期的な情報セキュリティ状況報告の確立
B. 事業単位のセキュリティワーキンググループを設置する
C. 定期的な経営幹部会議の設置
D. 情報セキュリティ運営委員会の設置
回答を見る
正解: A
質問 #6
バイオメトリクス認証について言えば、身体的特徴には通常(5つ選べ:)
A. 指紋
B. 目の網膜
C. アヤメ
D. 顔のパターン E
E. F
回答を見る
正解: ABCD
質問 #7
ある組織が年次リスクアセスメントを終えたところです。事業継続計画について、IS監査人は組織の次のステップとして何を推奨すべきか?
A. 事業継続計画が適切であるかどうかを確認し、評価する。
B. 事業継続計画の完全なシミュレーションを行う。
C. 事業継続計画に関する従業員の訓練と教育
D. 事業継続計画の重要な連絡先への通知
回答を見る
正解: A
質問 #8
あるIS監査人が、ある組織には個々のプロセスに対する適切な事業継続計画(BCP)はあるが、包括的なBCPはないと指摘した。IS監査人にとって、最善の行動はどれか。
A. 追加の包括的なBCPを策定することを推奨する。
B. BCPが一貫しているかどうかを判断する。
C. BCPをそのまま受け入れる。
D. 単一のBCPの作成を推奨する。
回答を見る
正解: B
質問 #9
IS監査人がウイルス対策の有効性を監査する際に確認すべきことはどれか。
A. IDSログレビューの頻度
B. ソフトウェアパッチの適用頻度
C. 本番移行スケジュール
D. 外部インターネットアクセスの頻度
回答を見る
正解: C
質問 #10
ある組織は、開発、テスト、本番という3つのIS処理環境を確立している。開発環境とテスト環境を分ける主な理由は、以下のとおりである:
A. ISスタッフとエンドユーザーとの間で職務の分離を行う。
B. テスト環境に対するユーザーのアクセス権を制限する。
C. 安定した環境でテストを実施する。
D. 開発中のプログラムを不正なテストから保護する。
回答を見る
正解: C
質問 #11
監査のフォローアップ中に、IS監査人は、あるコントロールが推奨と異なる方法で実施され ていることを発見する。監査人は次のことを行うべきである:
A. 管理目標が適切に対処されているかどうかを検証する。
B. コントロールとアクションプランを比較する。
C. 繰り返しの発見として報告する。
D. 不正確な実施について経営陣に報告する。
回答を見る
正解: B
質問 #12
あるIS監査人が、アプリケーションサーバに潜在的な脆弱性につながる一貫性のないセキュリティ設定があることを発見した。IS監査人による推奨事項として、最も適切なものはどれか。A. 変更管理プロセスを改善する
A. B
B. C
C. D
回答を見る
正解: C
質問 #13
IS監査人が組織のインシデント対応プロセスの有効性を評価する際に、最も重要なものはどれか。
A. 過去のインシデント対応
B. 事故対応スタッフの経験と資格
回答を見る
正解: A
質問 #14
あるIS監査人が、ある組織のソフトウェア開発プロジェクトにおけるリスクを特定するよう依頼された。プロジェクトマネージャは、長い開発プロセスを最小化するためにアジャイル開発手法を使用していると監査人に伝えている。監査人が最も懸念するのは次のうちどれでしょうか?
A. 各チームが独自にテストを行う。
B. 必要な作業はまだ完全に特定されていない。
C. 開発者の中には最近のトレーニングに参加していない者もいる。
D. プロジェクトの要素が文書化されていない。
回答を見る
正解: B
質問 #15
認証局(CA)は、以下のプロセスを委任することができる:
A. 加入者証明書の失効および一時停止。
B. CA 公開鍵の生成と配布。
C. リクエスト・エンティティとその公開鍵との間のリンクを確立する。
D. 加入者証明書を発行し、配布する、
回答を見る
正解: C
質問 #16
組織が情報セキュリティ方針と手順を策定する際に、最も重要な要素はどれか。
A. 方針と手順の相互参照
B. 使命と目的を含む C
C. D
回答を見る
正解: A
質問 #17
ITプロジェクトの実施に最も責任を負う可能性が高いのは、次のどのグループでしょうか?
A. ITステアリング委員会
B. ITコンプライアンス委員会
C. IT戦略委員会
D. ITガバナンス委員会
回答を見る
正解: C
質問 #18
あるレガシーアプリケーションが、ベンダーのサポートが終了したオペレーティングシステム上で稼動している。組織が現行のアプリケーションを使用し続ける場合、IS監査人が最も懸念すべきことは次のうちどれでしょうか?
A. システムにおけるゼロデイ脆弱性の悪用の可能性
B. レガシーアプリケーションデータベースを更新できない
C. システム維持コストの増加
D. 潜在的なライセンス問題によるオペレーティングシステムの使用不能
回答を見る
正解: A
質問 #19
エンドユーザーネットワーキングを評価するIS監査人が最も懸念すべき通信モードはどれか。
A. システム間
B. ピアツーピア
C. ホスト間
D. クライアント対サーバー
回答を見る
正解: C
質問 #20
完全運用の不測の事態テストの後、IS監査人は復旧手順のレビューを行う。監査人は、技術環境とシステムが完全に機能するように戻るまでに要した時間が、要求された重要復旧時間を超えていると結論付けた。監査人は次のうちどれを推奨すべきか?
A. リカバリータスクを統合的に見直す。
B. 回復時間を稼ぐために処理能力を広げる。
C. 施設の循環構造を改善する。
D. 復興に携わる人的資源を増やす。
回答を見る
正解: A
質問 #21
災害後、大規模な加工施設でサービスを復旧させるために、最初に行うべき作業はどれか。
A. 緊急行動チームを立ち上げる。
B. 保険会社の代理店に知らせる。
C. 機器ベンダーに連絡する。
D. 相互協定を有効にする。
回答を見る
正解: A
質問 #22
洗練されたデータベースシステムは、以下のような多くのレイヤーやタイプのセキュリティを提供する(3つ選べ):
A. アクセス制御
B. 監査
C. 暗号化
D. 完全性管理
E. 圧縮コントロール
回答を見る
正解: ABCD
質問 #23
不正侵入防御システム(IPS)の不適切な実装がもたらす最大のリスクは、以下の通りである:
A. システム管理者が確認するにはアラートが多すぎる。
B. IPSトラフィックによるネットワークパフォーマンスの低下。
C. 誤ったトリガーによる重要なシステムやサービスのブロック。
D. IT組織内の専門知識への依存。
回答を見る
正解: C
質問 #24
サンプリング手法の選択に最も影響を与えるリスクの種類はどれか?
A. コントロール
B. 固有
C. 残留
D. 検出
回答を見る
正解: A
質問 #25
重要なビジネスプロセスを再開するための許容可能な期間を決定する:
A. ダウンタイムコストのみを考慮する必要がある。
B. リカバリーオペレーションを分析する必要がある。
C. ダウンタイムコストと復旧コストの両方を評価する必要がある。
D. 間接的なダウンタイムコストは無視されるべきである。
回答を見る
正解: C
質問 #26
ある組織の事業継続計画をレビューしているとき、IS監査人は、組織のデータとソフトウェアファイルが定期的にバックアップされていることを観察した。これは、効果的な計画のどの特徴を示しているか?
A. 抑止力
B. 緩和
C. 回復
D. 応答
回答を見る
正解: B
質問 #27
監査フォローアップのスケジューリングは、第一に、以下の点に基づくべきである:
A. 関係するコストと監査努力。
B. 受審者と監査人の時間的制約。
C. 関係するリスクとエクスポージャー
D. コントロールと検出プロセス
回答を見る
正解: D
質問 #28
次のうち、分散型ITガバナンス・モデルを導入する理由はどれですか?
A. 標準化された管理と規模の経済
B. 事業部門間のITシナジー
C. 事業部間の一貫性の向上
D. ビジネスニーズへの対応力の向上
回答を見る
正解: D
質問 #29
あるIS監査人が、あるアプリケーションのシステムログに記録されたアクセスのサンプルを分析している。監査人は、1つでも例外が見つかった場合、集中的な調査を開始するつもりである。どのサンプリング方法が適切か。
A. 発見サンプリング B
B. C
C. D
回答を見る
正解: D
質問 #30
IS監査人が組織のデータ損失防止(DLP)対策の運用の有効性を評価する方法として、最も信頼できるものはどれか。
A. 機密ファイルが個人のUSBデバイスに転送できないことを確認する。
B. 可能性のあるデータ保護の脆弱性を特定するためにインタビューを実施する。
C. 業界のベストプラクティスに基づき、データ分類レベルを見直す。
D. すべてのコンピュータシステムに最新のDLPソフトウェアがインストールされていることを確認する。
回答を見る
正解: C
質問 #31
ある会社は、生産プログラムのすべての変更を文書化し、承認するために標準書式を使用している。その書式が適切に承認されていることを確認するために、最も効果的なサンプリング方法はどれか。
A. 属性
B. 変数
C. ディスカバリー
D. 金銭的
回答を見る
正解: C
質問 #32
解雇後、従業員のアクセスが適時に無効化されたかどうかを示す最も信頼できる証拠は、次のうちどれでしょうか。
A. 解雇フォームと人事システムの日付の比較
B. ハードウェア資産返却書の見直し
C. 従業員データが直ちに更新されていることを確認するため、監督者にインタビューを行う。
D. 終了フォームとシステムトランザクションログエントリーの比較
回答を見る
正解: B
質問 #33
事業継続計画(BCP)の監査において、IS監査人は、すべての部門が同じビルに入居しているにもかかわらず、各部門が別々のBCPを持っていることを発見した。IS監査人は、BCPを調整することを推奨した。次のうち、最初に照合すべき分野はどれか。
A. 避難計画
B. 復興の優先順位
C. バックアップ・ストレージ
D. コールツリー
回答を見る
正解: A
質問 #34
ある監査チームは、監査委員会により承認されたスケジュールを完了している。予定された監査のいくつかを開始した後、経営幹部がチームに、追加プロセスを直ちに監査するよう要請した。追加監査をスケジュールに追加するために利用できるリソースは十分ではありません。次のうち、最良の行動はどれか?
A. 予定されている監査の範囲を見直す。
B. 監査スケジュールの見直しを提案する。
C. 監査を確実に完了するための時間外労働を承認する。
D. 次期の監査スケジュールを検討する。
回答を見る
正解: D
質問 #35
事業継続計画プロセスの一環として、ビジネスインパクト分析で最初に特定すべきはどれか。
A. 単一障害点リスクやインフラリスクなどの組織的リスク
B. 重要なビジネスプロセスへの脅威
C. 復旧の優先順位を決定するための重要なビジネスプロセス
D. 事業再開に必要なリソース
回答を見る
正解: C
質問 #36
IS監査人が、グローバル組織の顧客に対するオンラインデータプライバシー通知に含まれていることを確認するために、最も重要なものはどれか。
A. データの取り扱いを誤った場合の組織への影響
B. データ収集の目的を含む同意条件
C. 同意違反報告の連絡先
D. データ侵害通知の業界標準
回答を見る
正解: C
質問 #37
ITプロジェクトが計画した利益をもたらしたことを保証できるのは、次のうちどれでしょう?
A. ユーザー受け入れテスト(UAT)
B. 運営委員会の承認
C. 実施後のレビュー
D. 品質保証評価
回答を見る
正解: C
質問 #38
Cisco IOSベースのルーターは、次のメカニズムのどれを介して基本的なトラフィックフィルタリングを実行しますか?
A. データグラム・スキャン
B. アクセスリスト
C. ステートフル・インスペクション
D. 状態チェック
E. リンク進行中
F. どれにも当てはまらない
回答を見る
正解: B
質問 #39
情報資産の機密性を保護する場合、最も効果的な管理方法は以下の通りである:
A. 規制要件に関する職員の意識向上トレーニング。
B. 知る必要のあるアクセス制御哲学の実施。
C. 二要素認証メカニズムの利用。
D. すべてのユーザーに読み取り専用アクセスを設定する。
回答を見る
正解: C
質問 #40
情報セキュリティガバナンス委員会の主な責務はどれか。
A. 情報セキュリティ技術の購入を承認する
B. 情報セキュリティ意識向上トレーニング戦略の承認
C. 情報セキュリティ戦略の見直し
D. 情報セキュリティポリシー・コンプライアンスレビューの分析
回答を見る
正解: D
質問 #41
あるIS監査人がITポリシーの見直しを行っているが、ほとんどのポリシーが3年以上見直されていないことがわかった。最も重大なリスクは、ポリシーが反映されていないことである:
A. 現在の法的要件。
B. CEOのビジョン
C. 組織の使命
D. 現在の業界のベストプラクティス
回答を見る
正解: A
質問 #42
ある組織が新たに導入したオンラインセキュリティ意識向上プログラムをレビューするIS監査人が、最も懸念する発見事項はどれか。
A. 新入社員のみプログラム受講が必要
B. プログラムの更新時期は未定
C. トレーニングの成果を評価する指標が確立されていない。
D. 従業員に結果がすぐに通知されない
回答を見る
正解: C
質問 #43
アプリケーションで実際に悪意ある行為が行われたかどうかを検証する最善の方法は、レビューすることです:
A. 職務の分離
B. アクセス制御
C. 活動記録
D. 変更管理ログ
回答を見る
正解: A
質問 #44
あるIS監査人が、ある組織のデータバックアッププロセスのセキュリティを評価している。次の発見事項のうち、組織にとって最も大きなリスクはどれですか?
A. バックアップ通信は暗号化されない
B. バックアップ通信が時々失敗する
C. データ復旧テストは年1回実施
D. アーカイブされたデータログが不完全
回答を見る
正解: B
質問 #45
次のセキュリティ対策のうち、環境を通常の運用に戻すことを目的としたものはどれか。
A. 抑止力
B. 予防
C. 是正措置
D. 回復
回答を見る
正解: C
質問 #46
実施後レビューの一環としてビジネスケースを評価する場合、IS監査人は以下を確認しなければならない:
A. 代替プロジェクトの実現可能性が評価された。
B. プロジェクト承認後、ビジネスケースは修正されていない。
C. プロジェクト全体を通じて品質保証措置が適用されている。
D. ビジネスケースの修正が承認された。
回答を見る
正解: D
質問 #47
ビジネスインパクト分析(BIA)の主な目的は以下のとおりです:
A. 災害後の業務再開計画を提供する。
B. 組織の事業継続に影響を及ぼす可能性のある事象を特定する。
C. 物理的セキュリティと論理的セキュリティに対する組織のコミットメントを公表する。
D. 効果的な災害復旧計画の枠組みを提供する。
回答を見る
正解: B
質問 #48
IS監査人は、ログ管理システムが誤検知アラートで溢れていることを発見した。監査人の最善の提案は、以下のとおりである:
A. 監視要員を増員する。
B. 侵入検知システム(IDS)を微調整する。
C. ファイアウォールルールを減らす。
D. アラートの審査基準を設ける。
回答を見る
正解: D
質問 #49
ある組織のヘルプデスクシステムにおける類似の問題をレビューしているとき、IS監査 人は、それらが独立して分析され、異なる方法で解決されていることに気づく。このような状況は、次のような欠陥がある可能性が高い:
A. ITサービスレベル管理。
B. 変更管理。
C. 構成管理。
D. 問題管理
回答を見る
正解: B
質問 #50
次のうち、情報セキュリティポリシーをスタッフに受け入れさせるのに最も効果的なものはどれか。
A. 強力な経営陣のサポート
B. 十分な安全保障資金
C. コンピューターベースのトレーニング
D. 強固なインシデント対応プログラム
回答を見る
正解: D
質問 #51
事業継続および災害復旧計画の第一の目的は、以下のとおりである:
A. 重要なIS資産を保護する。
B. 事業の継続性を確保する。
C. 組織の損失を最小限に抑える。
D. 人命を守る。
回答を見る
正解: D
質問 #52
企業ITのガバナンスを実施する際に、IS監査を関与させることの最も重要な利点はどれか。
A. 企業 IT ガバナンスフレームワークに関連する役割の特定 B
B. C
C. D
回答を見る
正解: B
質問 #53
データ保持ポリシーを策定する際に、最初に考慮すべきことはどれですか?
A. 保存期間に基づくバックアップサイクルの決定
B. インフラストラクチャー・ストレージ戦略の設計
C. データの法的および契約上の保存期間の特定
D. データへのセキュリティアクセス権限の決定
回答を見る
正解: C
質問 #54
ビジネスインパクト分析の最初のステップはどれですか?
A. 重要な情報資源の特定
B. 事業継続に影響を与える事象の特定
C. 過去の取引量の分析
D. データ分類スキームの作成
回答を見る
正解: A
質問 #55
コーポレートガバナンスと情報セキュリティガバナンスの連携を促進する場合、組織のセキュリ ティ運営委員会の役割として最も重要なものはどれか。
A. 事業主からの統合支持の獲得
B. 情報セキュリティ予算の承認の取得
C. 統合度の評価と報告
D. アライメントを実証するためのメトリクスの定義
回答を見る
正解: A
質問 #56
ソフトウェア開発サービス・プロバイダーとの契約に含めるべき最も重要なものはどれか?
A. 主要業績評価指標(KPI)のリスト
B. 知的財産の所有権 C
C. D
回答を見る
正解: B
質問 #57
バックアップポリシーをレビューするとき、IS監査人は、重要なシステムのバックアップ間隔が次のどれを超えないことを検証しなければならない(MUST)。
A. 回復時点目標(RPO)
B. 回復時間目標(RTO)
C. サービスレベル目標(SLO)
D. 最大許容停電(MAO)
回答を見る
正解: A
質問 #58
IS監査人が、ビジネスプロセス改善プロジェクトの結果をレビューしている。最初に実施すべきはどれか。
A. 新旧プロセス間のコントロールギャップを評価する。
B. 補償コントロールを開発する。
C. プロセスにおける管理上の弱点の影響を文書化する。
D. 変更プロセスで学んだ教訓が文書化されていることを確認する。
回答を見る
正解: A
質問 #59
ハッカーがドメインコントローラーのよく知られた脆弱性を悪用したセキュリ ティ侵害の後、IS監査人はコントロールアセスメントの実施を依頼された。監査人がとるべき最善の行動は、以下のことを判断することである:
A. ドメインコントローラーは高可用性のために分類されました。
B. ネットワークトラフィックを監視していた。
C. パッチが更新された。
D. ログを監視していた。
回答を見る
正解: B
質問 #60
POS機器で電子資金振替(EFT)を行う大規模なチェーン店には、銀行ネットワークに接続するための中央通信処理装置がある。通信処理装置の災害復旧計画として、最も適切なものはどれか。
A. 日次バックアップのオフサイト保管
B. 現場での代替スタンバイ・プロセッサ
C. 二重通信リンクの設置
D. 別のネットワークノードの代替スタンバイプロセッサ
回答を見る
正解: D
質問 #61
ITプロジェクト管理における優先順位図の作成方法の主な目的は、以下のとおりである:
A. プロジェクトのスコープクリープを監視する。
B. クリティカルパスを特定する。
C. 重要なマイルストーンを特定する。
D. 遅延とオーバーランを最小限に抑える。
回答を見る
正解: A
質問 #62
法律で定められた保存期間を超えて保存されている多数の顧客記録を特定した後、IS監査人が個人データの過剰保存に関連するリスクに対処する最善の方法は何か。
A. 保存期間を超えた記録の自動削除を推奨する。
B. 削除すべき記録を特定するために、定期的な内部監査を予定する。
C. 保管期間の不適合を規制当局に報告する。
D. 過剰保持の問題をデータプライバシー担当者にエスカレーションし、フォローアップを求める。
回答を見る
正解: A
質問 #63
ヘルプデスクのレビュー中、IS監査人は、通話放棄率が合意されたサービスレベルを超えていると判断した。この発見からどのような結論が導き出されるか?A. ヘルプデスクに利用可能な電話回線が不足している。
A. B
B. C
C. D
回答を見る
正解: A
質問 #64
IS監査人は、事業継続計画が経営陣によってレビューされ承認されていないと判断した。この状況に関連する最も重大なリスクはどれか。
A. 継続計画は、リソースの制約を受けることがある。
B. プランが業界のベストプラクティスに沿っていない可能性がある。
C. 重要なビジネスプロセスへの対応が不十分である可能性がある。
D. 計画はリスクマネジメントによってレビューされていない。
回答を見る
正解: D
質問 #65
組織の情報セキュリティプログラムをレビューするIS監査人が最も懸念すべきことはどれか。
A. プログラムはスポンサーから正式なサインをもらっていない。
B. 主要業績評価指標(KPI)が設定されていない。
C. すべてのITスタッフがこのプログラムを知っているわけではない。D
回答を見る
正解: A
質問 #66
組織が情報セキュリティ事象に対応するために適切なリソースを割り当てていることを最も確実に保証するものはどれか。
A. 事故の分類手順
B. 脅威分析と情報報告
C. 承認されたIT人員計画
D. 情報セキュリティポリシーと基準
回答を見る
正解: B
質問 #67
ある組織がデータ分類の標準を策定しており、内部監査に、標準をベストプラクティスに合わせるための助言を求めている。内部監査が最も推奨する標準は、以下のとおりである:
A. 組織全体のリスクアセスメントの結果に基づいています。説明/参照B
B. C
C. D
回答を見る
正解: A
質問 #68
IS監査は、ローカルエリアネットワーク(LAN)サーバーがウイルスの迅速な拡散にどのように寄与するか説明するよう求められている。IS監査人の最良の回答は次のとおりである:
A. サーバーのソフトウェアが主要な標的となり、最初に感染する。
B. サーバーのオペレーティングシステムは、ログオンするたびに各ステーションとデータを交換する。
C. サーバーのファイル共有機能により、ファイルやアプリケーションの配布が容易になります。
D. あるサーバーのユーザーは、アプリケーションやファイルの使用状況が似ている。
回答を見る
正解: A
質問 #69
成熟度モデルは、ITガバナンスの実装を支援するために使用することができます:
A. 重要成功要因(CSF)
B. C
C. D
回答を見る
正解: C
質問 #70
ある組織が、ある内部システムから別の内部システムへ大量のデータを送信する。IS監査人は、送信元におけるデータの品質をレビューしている。監査人が最初に検証すべきはどれか。
A. データは暗号化されている。
B. データ変換は正確です。
C. データ抽出処理が完了した。
D. ソースデータは正確です。
回答を見る
正解: A
質問 #71
犯罪的なインサイダー活動に対する最初の防衛ラインは何か?
A. 職員の完全性の検証
B. 従業員の活動の監視
C. 重要要員によるセキュリティ契約の締結
D. 厳格で強制的なアクセス制御
回答を見る
正解: D
質問 #72
モノのインターネット(IoT)機器のデータ転送の完全性を確保するために、IS監査人が最初に行うべきことはどれか。
A. 収集したデータが保存されているデータベースへのアクセス制御リストを確認する。
B. データ帯域幅の許容限度が各デバイスに定義されていることを確認する。
C. メッセージキューテレメトリトランスポート(MQTT)が使用されていることを確認する。デバイスがローカル・ネットワークにどのように接続されているかを確認する。
回答を見る
正解: B
質問 #73
IT運営委員会は、取締役会がITガバナンスの責務を果たすために、以下のような支援を行う:
A. プロジェクト追跡のためのITポリシーと手順を策定する。
B. ITサービスおよび製品の供給に重点を置いている。
C. 主要プロジェクトとITリソースの割り当てを監督する。
D. IT戦略の実施
回答を見る
正解: D
質問 #74
事業継続計画(BCP)に含めることが最も重要なものはどれか。
A. ベンダーの連絡先
B. 重要システムの文書化
C. データセンターのフロアプランの文書化
D. バックアップサイトの位置情報
回答を見る
正解: C
質問 #75
IS監査人が、ある組織のインフラストラクチャへのアクセス、パッチ適用、および変更管理の監査を計画している。システムに優先順位をつける最も良い方法はどれか。
A. 環境の複雑さ
B. システムの重要性
C. インフラ内のシステム階層
D. 退職金制度
回答を見る
正解: D
質問 #76
コンピュータマシンルームの床を高くすることで、防止できるベストはどれか?
A. コンピューターやサーバー周辺の配線の損傷
B. 静電気による停電
C. 地震による揺れ
D. 水による洪水被害。セクション情報資産の保護 説明/参照 説明
回答を見る
正解: A
質問 #77
内部統制監査により、レガシーシステムに関する統制の不備が発見された。情報セキュリティマネジャーが統制の不備を解決するためのセキュリティ要件を決定する上で、最も役立つのはどれか。
A. 費用便益分析
B. ギャップ分析
C. リスク評価
D. ビジネスケース
回答を見る
正解: D
質問 #78
組織の大幅な変更に伴い、ITポリシーを更新する際に最も重要な考慮事項は次のうちどれですか?
A. 方針は職務記述書に組み込まれている。
B. この方針は上級幹部によって承認されている。
C. 方針は関連法規に準拠している。D
回答を見る
正解: C
質問 #79
ある組織の IT ガバナンスプロセスをレビューする際、情報セキュリティに対する 期待がすべてのレベルで満たされていることを示す最も適切な指標はどれか。
A. 確立されたセキュリティ指標の達成
B. 経営幹部によるセキュリティプログラムの承認
C. 国際的に認知されたセキュリティ基準の利用
D. 包括的なセキュリティ意識向上プログラムの実施
回答を見る
正解: C
質問 #80
あるIS監査人は、最高経営責任者(CEO)が企業資源計画(ERP)システムにフルアクセスできることを観察した。IS監査人はFIRSTする必要があります:
A. 提供されるアクセスレベルを適切なものとして受け入れる。
B. 特権の剥奪を勧告する。
C. レビューに重要でないとして、その観察を無視する。
D. 所見を潜在的リスクとして文書化する。
回答を見る
正解: D
質問 #81
トロイの木馬は自律的に動くことはできない。
A. その通り
B. 偽
回答を見る
正解: A
質問 #82
IS監査人が、複数階建てビルの上層階にある有人データセンターの火災予防措置を評価する際に、最も重要なものはどれか。
A. 人目につきやすい場所に携帯型消火器を設置すること。
B. 地元消防署による定期点検の記録
C. 施設全体の空調システムの妥当性
D. テスト済みの緊急避難計画の文書化
回答を見る
正解: A
質問 #83
フォローアップ監査中に、IS監査人は、経営者がリスクを受け入れることを決定したため、いくつかの重要な勧告が対処されていないことを発見した。IS監査人の最善の行動はどれか。
A. 年次リスク評価を適宜調整する。
B. 受審者に勧告に完全に対処することを要求する。
C. 上級管理職のリスク受容度を評価する。
D. 経営陣のリスク許容度に基づいて監査プログラムを更新する。
回答を見る
正解: B
質問 #84
統計的サンプリングを使用する最も重要な理由はどれか?
A. 結果はより弁護的である
B. 関連するすべてのケースを確実にカバーする C
C. D
回答を見る
正解: C
質問 #85
IT関連コストとITパフォーマンス指標に関する最新情報を経営陣に提供するものとして、最も適切なものはどれか。
A. ITダッシュボード
B. リスク登録
C. ITサービス管理計画
D. 継続監査報告書
回答を見る
正解: B
質問 #86
個人情報保護規制を遵守するための戦略を立てる際、組織にとって最も重要な考慮事項はどれか。
A. 個人情報保護規制について深い知識を持つスタッフの確保
B. 顧客データの保存場所に関する最新の知識の確保
C. 顧客データを処理する第三者との契約を定期的に更新すること。
D. プライバシー情報を含む情報システムへの適切なアクセスを確保する。
回答を見る
正解: D
質問 #87
効果的な事業継続計画(BCP)に最も貢献するのはどれか。
A. 関係者全員に文書を配布
B. プランニングにはすべてのユーザー部門が関わる
C. 上級管理職による承認
D. 外部IS監査人による監査
回答を見る
正解: B
質問 #88
監査マネジメントは、次年度の年間監査計画を完了したところである。しかし、この計画を実行するにはリソースが不足していると判断されました。次に何をすべきか?A. 利用可能なリソースの数に合わせて、年間計画から監査を削除する。
A. B
B. C
C. D
回答を見る
正解: B
質問 #89
データ損失防止(DLP)ツールを導入するための最も重要な前提条件は、次のうちどれですか?
A. 既存データの所在を特定し、データ分類マトリックスを確立する。
B. 全社的な共有ドライブではなく、セキュリティで保護されたフォルダにファイルを保存するようユーザーに義務付ける。
C. データ転送ログをレビューし、データフローの過去のパターンを特定する。
D. DLPポリシーを策定し、ユーザーによる署名入りの確認を要求する。
回答を見る
正解: B
質問 #90
あるIS監査人が、分析のために、複数のフィールドと数値以外のデータを含む大規模なデータセットを入手しました。この監査でデータ分析ツールを使用することによって得られる結論の質を最も向上させる活動は、次のうちどれですか?
A. データの匿名化
B. データの分類
回答を見る
正解: S
質問 #91
生産スケジュールのレビュー中に、IS監査員は、あるスタッフが必須業務手順を遵守していないことを観察する。監査人の次のステップは次のとおりである:
A. 手順が守られなかった理由を特定する。
B. 監査報告書にコンプライアンス違反を記載する。
C. 監査作業報告書にコンプライアンス違反を記載する。
D. コンプライアンス違反を指摘する監査メモを発行する。
回答を見る
正解: C
質問 #92
IT戦略計画を見直す主な目的は、その可能性のあるリスクを特定することである:
A. 顧客の要求を実現する能力を制限する。
B. 組織の目的達成能力を制限する。
C. IT部門の業務効率に影響を与える。
D. 計画を実施するための資金調達に影響を与える。
回答を見る
正解: B
質問 #93
次のうち、ipfwadmの書き換えはどれですか?
A. ipchains
B. iptables
C. ネットフィルター
D. ipcook
E. 選択肢のどれでもない。
回答を見る
正解: A
質問 #94
事業継続計画(BCP)と災害復旧計画(DRP)をコアビジネスのニーズに合わせるために組織が採用できる最善の方法は、次のとおりである:
A. 計画を定期的にウォークスルーする。
B. 重要なビジネス上の変更については、ビジネスインパクト分析(BIA)を更新する。
C. BCPおよび災害復旧計画の維持を第三者に委託する。
D. 新入社員研修の一環として、BCPと災害復旧計画の責任を含める。
回答を見る
正解: C
質問 #95
強力なパスワードポリシーの導入は、ある組織の今年の情報セキュリティ戦略の一部である。ある事業部門は、この戦略が最近開発されたモバイルアプリケーションの顧客の導入に悪影響を及ぼす可能性があると考え、このポリシーを導入しないことを決定した。情報セキュリティマネジャーが取るべき行動として、最も適切なものはどれか。
A. 方針を実施しない場合のリスクと影響を分析する。
B. モバイルアプリケーションのパスワードポリシーを策定し、実施する。
C. 方針の不実施を上級管理職に報告する。
D. 類似のモバイル・アプリケーションとベンチマークを行い、ギャップを特定する。
回答を見る
正解: C
質問 #96
財務報告の正確性を評価する監査はどれか。
A. コンプライアンス監査
B. 会計監査
C. 業務監査
D. フォレンジック監査
回答を見る
正解: C
質問 #97
情報セキュリティマネジャーが、最近のビジネス変化に起因する新たな情報セ キュリティリスクに対処するための戦略を策定した。この戦略を経営幹部に提示する際に、最も重要な内容はどれでしょうか。
A. 組織の変化がセキュリティリスクプロファイルに与える影響
B. ビジネスプロセスの変更に伴うコスト
C. 同業他社とのベンチマーク結果
D. リスク軽減に必要なセキュリティ管理
回答を見る
正解: C
質問 #98
ITシステムのペネトレーション・テストを実施する際、組織が最も注意すべき点は以下の通りである:
A. 報告書の機密性。
B. システム上のありとあらゆる弱点を見つける。
C. すべてのシステムを元の状態に戻す。
D. 本番システムに加えられたすべての変更を記録する。
回答を見る
正解: C
質問 #99
ある組織が高度持続的脅威(APT)攻撃を受け、深刻な影響を受けた。その後、最初の侵害は攻撃の1カ月前に起きていたことが判明した。経営陣が最も懸念すべきことは、以下の通りである:
A. 過去の内部侵入テストの結果
B. モニタリング・プロセスの有効性
C. 重要なセキュリティパッチのインストール 説明/参照D
回答を見る
正解: C
質問 #100
2者間のメッセージの完全性、機密性、否認防止を保証するために、最も効果的な方法は、暗号ハッシュアルゴリズムを適用してメッセージダイジェストを作成することである:
A. メッセージ全体、送信者の秘密鍵を使ったメッセージ・ダイジェストの暗号化、対称鍵を使ったメッセージの暗号化、受信者の公開鍵を使った鍵の暗号化。
B. メッセージの任意の部分、送信者の秘密鍵を使ったメッセージ・ダイジェストの暗号化、対称鍵を使ったメッセージの暗号化、受信者の公開鍵を使った鍵の暗号化。
C. メッセージ全体を暗号化し、送信者の秘密鍵を使ってメッセージ・ダイジェストを暗号化し、対称鍵を使ってメッセージを暗号化し、受信者の公開鍵を使って暗号化されたメッセージとダイジェストの両方を暗号化する。
D. メッセージ全体を暗号化し、送信者の秘密鍵を使ってメッセージ・ダイジェストを暗号化し、受信者の公開鍵を使ってメッセージを暗号化する。
回答を見る
正解: A
質問 #101
ネットワーク監査を計画する際、最も重要なものはどれか。
A. 使用IP範囲の決定
B. 不正アクセスポイントの隔離
C. 既存のノードの特定
D. トラフィック内容の分析
回答を見る
正解: B
質問 #102
インシデント対応チームのメンバーに対する訓練カリキュラムの主な焦点は、次のとおりである:
A. 技術トレーニング。
B. セキュリティ意識
C. 対外的な企業コミュニケーション
D. 特定の役割のトレーニング
回答を見る
正解: D
質問 #103
情報セキュリティガバナンスフレームワークを組織全体で成功裏に実装するために最も重要なものはどれか。
A. 既存の組織のセキュリティ文化
B. セキュリティ目的に沿ったセキュリティ管理プロセス
C. 規定に沿った組織的なセキュリティ管理の展開
D. 業界のベストプラクティスに準拠したセキュリティポリシー
回答を見る
正解: C
質問 #104
事業継続計画をテストする主な目的は、以下のとおりである:
A. 事業継続計画を従業員に周知する。
B. すべての残存リスクに確実に対処する。
C. 想定されるすべての災害シナリオを想定する。
D. 事業継続計画の限界を特定する。
回答を見る
正解: D
質問 #105
次のうち、指示制御はどれですか?
A. 情報セキュリティ運用チームの設置
B. データ損失防止ソフトウェアのアップデート
C. 情報セキュリティポリシーの実施
D. データ暗号化ソフトウェアの設定
回答を見る
正解: C
質問 #106
IS監査人は、従業員が使用する企業のモバイルデバイスのパスワード設定がさまざまなレベルであることを発見した。次のうち、最も推奨されるものはどれか。
A. モバイルデバイスの使用ポリシーを更新する。
B. パスワードの長さを指定するよう従業員に通知する。
C. 企業ゲートウェイとデバイス間のデータを暗号化する。
D. モバイルデバイスにセキュリティポリシーを適用する。
回答を見る
正解: D
質問 #107
企業電子メールの公開鍵インフラストラクチャ(PKI)をレビューするIS監査人が、最も関心を持つべきものはどれか。
A. 秘密鍵証明書が更新されていない。
B. 証明書失効リストが更新されていない。
C. 証明書に関する声明は公表されていない。
D. PKI ポリシーは過去 1 年以内に更新されていない。
回答を見る
正解: C
質問 #108
全従業員を対象としたソーシャルメディアポリシーを制定する第一の理由はどれか。
A. B
B. C
C. D
回答を見る
正解: D
質問 #109
重大なインシデントが発生したことがないため、ネットワーク内部統制の不備を強調したIS監査報告書に問題がある。監査中に実施された次の処置のうち、調査結果を最もよく裏付けていたのはどれか。
A. コンプライアンス・テスト
B. 脅威リスク評価
C. 侵入テスト
D. 脆弱性評価
回答を見る
正解: C
質問 #110
次の監査リスクのうち、経営者が実施した統制を考慮せずに、プロセスや企業が監査対象にさらされることに関連するものはどれか。
A. 内在的リスク
B. コントロール・リスク
C. 検出リスク
D. 全体的な監査リスク
回答を見る
正解: B
質問 #111
ユーザーは、企業の仮想プライベートネットワーク(VPN)にアクセスするために、PINと組み合わせて使用するセキュリティトークンを発行されています。PINに関して、セキュリティポリシーに含めるべき最も重要なルールは何ですか?
A. 利用者は、トークンを盗まれる可能性のある場所に放置してはならない。
B. ユーザーは、トークンをラップトップコンピュータと同じバッグに入れてはなりません。
C. ユーザは、繰り返しのない、完全にランダムな暗証番号を選択する必要があります。
D. ユーザーは決して暗証番号を書き留めてはいけません:情報資産の保護 説明/参照 説明
回答を見る
正解: D
質問 #112
あるIS監査人が監査報告書を提出し、クライアントとのフォローアップ監査契約を予定していた。クライアントは、同じ監査人に、より強化されたコントロールを開発するサービスを依頼することを要求しています。この要求で最も懸念されることは何ですか?
A. 監査部長の承認が必要です。
B. 本来の監査範囲を超えている。
C. 利益相反の可能性がある。
D. 監査計画を変更する必要がある。
回答を見る
正解: C
質問 #113
ある組織が現在、会計システムをリプレースしようとしている。アップグレードによるデータの完全性の喪失に関連するリスクを最小化する戦略は、次のうちどれですか?
A. 試験的実施
B. 機能統合テスト
C. 不測の事態
D. 並列実装
回答を見る
正解: B
質問 #114
内部監査報告書は、第一義的には、その対象者向けに作成され、伝達されるべきである:
A. 監査管理者は、監査の質に責任を負う。
B. 財務諸表に対する意見書を提出する外部監査人 最終的に勧告を実施しなければならない被監査人
C. D
回答を見る
正解: C
質問 #115
あるIS監査人は、ITマネジメントのベストプラクティスの設計と実施に関する助言を求められている。次のうち、監査人の独立性を損なう行為はどれか?
A. アプリケーション管理のためのコンサルティング・アドバイスの提供
B. 組み込み監査モジュールの設計
C. 経営陣に代わってリスク対応を実施する
D. リスク管理プロセスの評価
回答を見る
正解: A
質問 #116
IS監査人は、ネットワークの脆弱性評価において、次のうちどれを期待すべきか?
A. 設定ミスと更新漏れ
B. 悪意のあるソフトウェアとスパイウェア
C. セキュリティ設計の欠陥
D. ゼロデイ脆弱性
回答を見る
正解: D
質問 #117
複数のビジネスラインを持つ企業のIT監査ユニバースを効果的に定義するために、最初に行うべきことはどれですか?
A. 各ビジネスラインの残存ITリスク総額を特定する。
B. 企業のITプロセスの完全なリストを入手する。
C. 事業体の事業の基本となる資産の完全なリストを入手する。
D. 各ビジネスラインのコアプロセスの主要な統制目標を特定する。
回答を見る
正解: C
質問 #118
ソースコード・リポジトリは、以下のように設計されるべきである:
A. 修正されたコードの自動組み込みと配布を提供する。
B. 既存のコードに変更が組み込まれるのを防ぐ。
C. 既存コードの安全なバージョン管理とバックアップ機能を提供する。
D. 開発者が安全なソースコードにアクセスできないようにする。
回答を見る
正解: B
質問 #119
ある組織には、広い地域にわたって多数の支店がある。災害復旧計画のすべての側面が費用対効果の高い方法で評価されるようにするために、IS監査人は、災害復旧計画の使用を推奨すべきである:
A. データ復旧テスト。
B. フル稼働テスト。
C. 後試験。
D. 準備テスト
回答を見る
正解: D
質問 #120
事業継続計画のレビュー中に、あるIS監査人は、ある状況が危機であると宣言されるポイントが定義されていないことに気づいた。これに関連する重大なリスクは以下の通りである:
A. 状況判断が遅れる可能性がある。
B. 災害復旧計画の実行に影響が出る可能性がある。
C. チームへの通知が行われない可能性がある。
D. 潜在的な危機認識は効果がないかもしれない。
回答を見る
正解: B
質問 #121
ある最高経営責任者(CEO)が、組織のポリシーに準拠していないモバイルデバイ スから会社の文書にアクセスするよう要求してきた。情報セキュリティマネジャーは、次のことを行う必要があります:
A. 事業リスクを評価する
B. サードパーティのソリューションを評価する
C. 例外承認プロセスを開始する
D. 追加のセキュリティ管理を導入する
回答を見る
正解: A
質問 #122
ある組織が最近、報告データに重大な不一致があることを監督機関から通知された。予備調査の結果、この不一致は組織のデータ品質に問題があることが判明した。経営陣は、データ品質チームに対し、そのプログラムを強化するよう指示した。監査委員会は、内部監査にこのプロセスのアドバイザーとなるよう要請した。経営陣の懸念に確実に対処するために、内部監査はどのデータセットを最初にレビューするよう推奨すべきか?
A. ビジネス目標に影響を与えるデータ
B. 財務諸表を裏付けるデータ
C. 規制機関への報告データ
D. お客様の個人情報を含むデータ
回答を見る
正解: A
質問 #123
IS監査チームが、IT部門とビジネス管理部門が実施した直近のアプリケーション・ユーザー・アクセス・レビューに関する文書を評価している。ユーザーリストはシステムで作成されたものではないと判断された。次のうち、最も懸念すべきはどれですか?
A. ユーザーリストの出所
B. レビューされたユーザーリストの利用可能性
C. レビューされたユーザーリストの機密性
D. レビューされたユーザーリストの完全性
回答を見る
正解: D
質問 #124
あるIS監査人が、共有ネットワークインフラを持つ多国籍企業のアクセス制御を評価している。次のうち、最も重要なものはどれですか?
A. エンド・ツー・エンドの通信経路の単純さ
B. リモートネットワーク管理
C. 一般的なセキュリティ・ポリシー
D. ユーザーレベルでのネットワーク情報のログ
回答を見る
正解: A
質問 #125
あるIS監査人が、6ヶ月前にアップグレードされたシステムから作成された月次レポートに異常を発見した。監査人が最初にとるべき行動はどれか。
A. ソースコードを検査し、異常があることを証明する
B. システムの変更管理レビューを行う
C. システムのアクセスレビューを予定する
D. 報告書の異常の影響を判断する
回答を見る
正解: A
質問 #126
IS監査人がオペレーティング・システムにおいてどの統制が機能しているかを判断するための最も効果的な方法は、次のとおりである:
A. 現在のコンフィギュレーションを企業標準と比較する。
B. システムプログラマーに相談する。
C. システムのベンダーに相談する。現在のコンフィギュレーションとデフォルトのコンフィギュレーションを比較する。
回答を見る
正解: A
質問 #127
次のうち、ビジネスインテリジェンス・システムの目的に最も大きな影響を与えるものはどれか?
A. キーコントロールは1年間テストされていない。
B. 意思決定支援クエリは、ベンダー独自のデータベース関数を使用する。
C. 災害復旧のためのホットサイトには、意思決定支援システムは含まれない。
D. マネジメント・レポートは導入以来評価されていない。
回答を見る
正解: D
質問 #128
企業スタッフ向けのセキュリティ意識向上トレーニングの最も重要な目的は、以下のとおりである:
A. 侵入方法を理解する
B. 否定的な監査指摘を減らす
C. コンプライアンスを高める
D. 行動を修正する
回答を見る
正解: D
質問 #129
コンピュータ運用に関する外部ITサービスレベル合意書(SLA)のレビューにおいて、IS監査人の主な関心事はどれか。
A. 従業員の後継者計画がない
B. サービスの変更は追跡されない
C. ソフトウェアエスクロー条項の欠如
D. ベンダーはITリソースを独占的に管理できる 説明/参照
回答を見る
正解: A
質問 #130
サイバーセキュリティのインシデント対応計画を評価するとき、IS監査人が最も懸念するのはどれか。
A. このプランは最近テストされていない。
B. 各プロセスの役割と責任は詳述されていない。
C. ステークホルダーの連絡先が最新でない。
D. 計画にはインシデント対応の指標が含まれていない。
回答を見る
正解: D
質問 #131
1台のコンピュータで大規模なネットワーク構造をシミュレートするために使用できるツールは、次のうちどれでしょう?
A. 新婚旅行
B. ハニートラップ
C. ハニーチューブ
D. ハニード
E. 選択肢のどれでもない。
回答を見る
正解: D
質問 #132
重要なサーバログ管理活動の情報セキュリティ監査を実施するIS監査人が、最も懸念する発見事項はどれか。
A. ログ記録がレビューされる前に上書きされる可能性がある。B
B. C
C. D
回答を見る
正解: C
質問 #133
組織内の効果的な情報セキュリティ管理を示すものとして、最も適切なものはどれか。
A. 従業員は、情報セキュリティ管理者による決定を支持する。
B. ある部門における過剰なリスク・エクスポージャーは、他の部門が吸収することができる。
C. 情報セキュリティガバナンスを組織ガバナンスに組み込む。
D. 支配権の所有権は、支配権の失敗に関する損失を受け入れることができる当事者に割り当てられる。
回答を見る
正解: C
質問 #134
IS監査機能の主な目的はどれか。
A. 専門機関が策定した基準に基づいてレビューを実施する。
B. 内部統制の機能について経営陣に報告する。
C. 財務データの正確性を証明する。
D. 実質的なテストのためのコンピュータベースのデータの抽出を容易にする。
回答を見る
正解: C
質問 #135
監査中に、クライアントが、IS 監査人が最近競合他社で同様のセキュリ ティレビューを完了したことを知る。顧客は、競合他社の監査結果について質問します。監査人がこの問い合わせに対応する最善の方法は何でしょうか。
A. 他の監査クライアントの結果について話すことは不適切であることを説明してください。
B. 更なる処置のために、質問を監査マネジャーにエスカレーションする。
C. 名称や製品に関する具体的な説明は省略し、監査結果について話し合う。
回答を見る
正解: D
質問 #136
データベース監査中に、IS監査人は注文テーブルのサイズが大きくなっているため、頻繁に問題が発生することを指摘した。この状況で最も推奨されるのはどれか。
A. アーカイブ手法を開発する。
B. 完了した注文を定期的に削除する。
C. より多くのテーブルインデックスを構築する。
D. 別のデータベース管理システムに移行する。
A.
回答を見る
正解: A
質問 #137
情報セキュリティ指標を選択する際に最も重要なのはどれか。
A. 定量的な指標を定義する
B. メトリックをIT戦略に整合させる C
C. D
回答を見る
正解: D
質問 #138
銀行の窓口業務のビジネス・プロセス・リエンジニアリング(BPR)において、IS監査人は評価する必要がある:
A. 変更されたビジネスプロセスの影響。
B. 新しいコントロールのコスト
C. BPRプロジェクト計画。
D. 継続的改善とモニタリング計画
回答を見る
正解: B
質問 #139
ベンダー管理データベースの監査中に、IS 監査人が重複したベンダーレコードの複数の事例を特定した。同じ問題の再発を防止するために、IS監査人が経営陣に推奨するベストはどれか。
A. キーフィールドの一意なデータ値についてシステム検証チェックを行う。
B. すべての新規ベンダーの詳細について、経営幹部の承認を求める。
C. ベンダーの全リストのシステムレポートを定期的に実行し、重複を特定する。
D. ベンダーの作成プロセスに職務分掌を組み込む。
回答を見る
正解: D
質問 #140
あるIS監査人が、IT設備のアウトソーシング契約をレビューしている。次のうち、監査人が最も懸念すべきものはどれですか?
A. アクセス制御の要件
B. ハードウェア構成
C. 境界ネットワーク・セキュリティ図
D. ヘルプデスクの可用性
回答を見る
正解: C
質問 #141
ある組織のCIOは、情報セキュリティポリシーが包括的でないかもしれないと懸念している。IS監査人が最初に実施するよう推奨すべきはどれか。
A. 競合他社の方針のコピーを入手する。
B. ポリシーの例外を処理するプロセスがあるかどうかを判断する。
C. 方針の遵守状況を把握するために、ガバナンス委員会を設置する。
D. 業界の枠組みに照らして政策を比較する。
回答を見る
正解: D
質問 #142
BCPをレビューするIS監査人が最も関心を持つべきものはどれか。
A. 災害レベルは、被災した機能の範囲に基づいているが、期間には基づいていない。
B. 低レベルの災害とソフトウェア・インシデントの違いは明確ではない。
C. 全体的なBCPは文書化されているが、詳細な復旧手順は明記されていない。
D. 災害宣言の責任は特定されていない。
回答を見る
正解: D
質問 #143
ある組織が、システム・アクセスの責任に関する確認書に署名することをユーザーに要求する主な理由は、次のとおりである:
A. 業界のベストプラクティスへの準拠を維持する。
B. セキュリティ意識向上トレーニングの証拠となる。
C. そのユーザーのIDで行われた取引に対する説明責任を割り当てる。
D. ユーザーのアクセス権を正確に記録する。
回答を見る
正解: C
質問 #144
侵入テストを計画する上で最も重要な成功要因は、次のとおりである:
A. 計画された試験手順の文書化。
B. スケジュールを組み、試験時間を決める。
C. 顧客組織の経営陣の関与。
D. 試験に携わるスタッフの資格と経験。
回答を見る
正解: C
質問 #145
内部統制が信頼できると結論付ける前に、IS監査人は次のことを行うべきである:
A. 受審者と内部統制の弱点について話し合う。
B. ドキュメント・アプリケーション・コントロール
C. 適合性テストの実施
D. 内部統制システムの文書化
回答を見る
正解: D
質問 #146
監査、リスク、セキュリティの各機能が連携することで、経営幹部にとって主にどのようなメリットがあるのか。
A. より効率的な事故処理
B. 保証報告書の削減
C. より効果的な意思決定
D. よりタイムリーなリスク報告
回答を見る
正解: B
質問 #147
リソースが限られているため職務分掌が実行不可能なIT部門で、あるチームメンバがコンピュータのオペレータとアプリケーションログのレビュアーの機能を実行している。IS監査人の推奨事項として最も適切なものはどれか。
A. アプリケーションログが変更されていないことを確認する手順を開発する。
B. オペレータがアプリケーション開発活動を実行できないようにする。
C. アプリケーションログを検証するために、独立した第二のレビュアーを任命する。
D. コンピュータオペレータの本番環境へのアクセスを制限する。
回答を見る
正解: C
質問 #148
正確なバイオメトリクス・システムは、通常(2つ選べ:)
A. 低EER
B. 低CER
C. 高いEER
D. CERが高い
E. 選択肢のどれでもない。
回答を見る
正解: AB
質問 #149
説明/参照前年度の監査のフォローアップの一環として、IS 監査人はサンプルの予想エラー率を引き上げた。その影響は
A. 保証の度合いは高まる。
B. 標準偏差が減少する。
C. サンプリングのリスクは減少する。
D. 必要なサンプル数が増える。
回答を見る
正解: D
質問 #150
組織のソーシャルメディア実務のレビュー中に指摘された以下の観察事項のうち、IS監査人が最も関心を持つべきものはどれか?
A. 当団体は、ソーシャルメディアへの投稿に承認を必要としません。
B. 複数の従業員が、組織を代表してソーシャルメディアに公開する権限を持つ。
C. ソーシャルメディアを使用している従業員全員が、セキュリ ティ意識向上プログラムに参加しているわけではない。
D. 組織には、文書化されたソーシャルメディアポリシーがない。
回答を見る
正解: B
質問 #151
ある内部監査部門は、最近、監査プログラム全体の一部として、品質保証(QA)プログラムを確立しました。QAプログラムの要件の一部として含めるべき活動は、次のうちどれですか?
A. 理事会へのプログラム結果の報告
B. 定期的な監査基準の見直し
C. ビジネスラインからのユーザー満足度レポートの分析
D. 内部監査要員の長期計画の実施
回答を見る
正解: S
質問 #152
IS監査人が発生したエラーを発見できないリスクは、次のどの用語で識別されるか?
A. コントロール
B. 予防
C. 固有
D. 検出
回答を見る
正解: C
質問 #153
ある IS 監査人は、ある住宅ローン組成チームが共有リポジトリを経由して顧客の住宅ローン申込書を受領していることを発見した。このプロセスに適切なプライバシー管理があるかどうかを評価する最もよい方法は、次のテスト手順のどれですか。
A. 暗号化が組織の要件に準拠しているかどうかを検証する。
B. データが正確かつタイムリーに入力されていることを検証する。
C. 文書がデータ保持手順に従って削除されているかどうかを検証する。
D. 複雑なパスワードが必要かどうかを検証する。
回答を見る
正解: D
質問 #154
IT重要業績評価指標(KPI)の妥当性を評価する場合、IS監査人が最初に完了すべき手続きはどれか。
A. KPIの精度を独自に計算する。
B. IT パフォーマンスの低下を示す KPI を見直す。
C. KPIのしきい値を検証する。
D. KPI が IT の目的をサポートしているかどうかを判断する。母集団全体を抽出することが実行不可能な状況において、適切なサンプルサイズを決定する際に、IS監査人が考慮すべき最も重要なものはどれか。
E.
A. 許容誤差
F. B
G. C
D. 受審者の対応
回答を見る
正解: S
質問 #155
現在テープ・バックアップを使用しているある組織では、毎週1回フル・バックアップを取り、毎日増分バックアップを取っている。最近、テープバックアップをディスクバックアップに変更した。これは以下の理由で適切である:
A. オフサイト・ストレージ用の高速合成バックアップがサポートされています。
B. ディスクへのバックアップは、テープへのバックアップよりも常に大幅に高速です。
C. テープライブラリはもう必要ない。
D. ディスク上のデータ保存はテープよりも信頼性が高い。
回答を見る
正解: A
質問 #156
ITがビジネス要件を満たしているかどうかを判断する最も効果的な方法は、それを確立することである:
A. 業界のベンチマークB
B. C
C. D
回答を見る
正解: A
質問 #157
ハッシュ化と暗号化の最も重要な違いは、ハッシュ化である:
A. は不可逆的である。
B. 出力は元のメッセージと同じ長さである。
C. は完全性と安全性に関心がある。
D. 送信側と受信側で同じである。
回答を見る
正解: A
質問 #158
パフォーマンス監視ツールは、サーバーが常に推奨使用容量を上回っていることを報告します。IS監査人の推奨事項として最も適切なものはどれか。
A. 利用予測に基づくキャパシティプランを策定する。
B. ロードバランサーを導入する
C. アクティビティログを監視する。
D. 利用率が目標容量に達するまでサーバーを追加する。
回答を見る
正解: D
質問 #159
侵入検知システム(IDS)をレビューするIS監査人が最も懸念すべきはどれか。
A. 偽陰性の数
B. 偽陽性の数
C. システムによってブロックされた正当なトラフィック
D. IDSログの信頼性
回答を見る
正解: B
質問 #160
財務アプリケーションシステムを本番稼動から外す場合、次のうち最も重要なものはどれですか?
A. 引退したシステムで使用されるメディアは消毒されている。
B. 規制のために保持されたデータを検索することができる。
C. エンドユーザーからの変更要求は記録され、追跡される。
D. ソフトウェアのライセンス契約は保持される。
回答を見る
正解: B
質問 #161
アプリケーションの監査を計画する場合、インタビューによってリスク要因を評価することが最も重要である:
A. プロセス・オーナー
B. アプリケーションの所有者
C. IT管理。
D. アプリケーションユーザー
回答を見る
正解: C
質問 #162
ベンダーのサービスレベル契約(SLA)では、バックアップを物理的に保護することが義務付けられている。バックアップシステムのIS監査で、多くのバックアップメディアが紛失していることが判明した。監査人の次のステップはどれですか?
A. 業者の契約の見直しを勧める。
B. 紛失したメディアに保存されているデータの特定を勧める。C
C. D
回答を見る
正解: A
質問 #163
バックアップの代替手段としてホットサイトを使用する利点は、以下の通りである:
A. ホットサイトに関連するコストは低い。
B. ホットサイトは長時間使用できる。
C. ホットサイトは短期間で運営準備ができる。
D. 機器やシステムソフトウェアがプライマリサイトと互換性がある必要はない。
回答を見る
正解: C
質問 #164
脆弱性アセスメント中に、ある IS 監査員が、クレジットカードによるオンライン顧客注文を処理するために使用される公開向け Web サーバに、高リスクの脆弱性を発見した。IS監査人は、まず最初に
A. 経営陣に通知する。
B. 顧客の注文プロセスを再設計する。
C. 所見を報告書に記載する。
D. クレジットカード決済を停止する。
回答を見る
正解: A
質問 #165
事業部門が情報セキュリティガバナンスフレームワークを遵守するための最も効果的な方法はどれか。
A. 情報セキュリティ意識向上トレーニングの実施
B. セキュリティ評価とギャップ分析の実施
C. セキュリティ要件をプロセスに統合する
D. ビジネスインパクト分析(BIA)の実施
回答を見る
正解: D
質問 #166
技術的な管理がない場合、会社支給の携帯端末での不正なテキストメッセージを減らす最善の方法は何でしょうか?
A. 企業のモバイル使用ポリシーを更新し、テキストを禁止する。
B. ビジネスインパクト分析(BIA)を実施し、経営陣に報告書を提出する。
C. 組織が管理を実施できるようになるまで、モバイルデバイスの提供を停止する。
D. セキュリティ意識向上トレーニングに、禁止され ているテキスト送信のトピックを含める。
回答を見る
正解: B
質問 #167
フォローアップ監査では、IS監査人は、経営者が当初の合意とは異なる方法で当初の指摘事項に対処したことを指摘する。監査人はFIRSTを行うべきである:
A. 勧告を満足とマークし、所見を閉じる。
B. C
C. D
回答を見る
正解: A
質問 #168
5年間の監査計画では、毎年一般監査を実施し、交互にアプリケーション監査を実施する。より高い効率を達成するために、IS 監査マネジャーは最も可能性が高い:D.
A. 計画を進め、すべての新規申請を統合する。
B. 毎年、統制自己評価(CSA)と一般監査を交互に実施する。
C. リスク評価基準を導入して、監査の優先順位を決定する。
D. は、統制自己評価(CSA)と正式な申請監査を交互に実施している。
回答を見る
正解: A
質問 #169
ある組織のIT部門は、レガシーアプリケーション全体を廃止するのではなく、特定のモジュールを置き換える一方で、まだ適切なモジュールを維持することを選択しました。次のうち、IS監査人がレビューすることが最も重要な成果物はどれですか?
A. ITサービスマネジメント・カタログとサービスレベル要件
B. レガシーデータのマスキングとデータ破棄のセキュリティ要件
C. アプリケーションに適用されるライセンス契約
D. 将来のアーキテクチャと要件
回答を見る
正解: D
質問 #170
ある組織が毎晩バックアップを実施しているが、正式なポリシーを持っていない。IS監査人はFIRSTする必要があります:
A. 現在のバックアップ手順を評価する
B. 上級管理職にエスカレーションする
C. 組織の方針を文書化する。
D. 自動バックアップを推奨する
回答を見る
正解: A
質問 #171
ビジネスインパクト分析(BIA)を実施する主な目的はどれか。
A. リスク軽減オプションの特定
B. 主要なビジネスリスクの特定
C. 重要なビジネスプロセスの特定
D. 脅威環境の特定
回答を見る
正解: D

送信後に回答を表示する

質問の回答を得るには、電子メールと WhatsApp を送信してください。

注: 正しい試験結果を得ることができるように、電子メール ID と WhatsApp が有効であることを確認してください。

Eメール:
WhatsApp/電話番号: